Сервис для хранения документов и мгновенной аутентификации Telegram Passport, который станет первым шагом к запуску блокчейн-системы TON, обнаружен способ похитить данные пользователей.
Telegram Passport уязвим перед так называемыми атаками полного перебора (brute force, брутфорс-атаки). Об этом сообщил разработчик криптографического ПО Virgil Security.
Согласно исследователям из Virgil Security, сервис отправляет в облако зашифрованные пользовательские данные, криптографические ключи, а также хэш от персональных данных, смешанных со случайными байтами. Для хранения Telegram использует алгоритм хеширования SHA-512, который не предназначен для хеш-паролей. Такая ошибка делает пароли недостаточно защищенными.
Virgil Security напоминает, что использование неподходящего алгоритма хеширования привело к потере 50 млн паролей у соцсети LivingSocial в 2013 и 8 млн паролей LinkedIn в 2012.
«Пароль объединяется дважды со случайной солью и помещается в хеш-функцию SHA-512. Сначала кажется, что хорошо, но знаете что? Это 2018 год, и один графический процессор последнего поколения способен проверять примерно 1,5 миллиарда SHA-512 хешей в секунду. Это означает, что десять таких графических процессоров (небольшая ферма для добычи криптовалюты) смогут подобрать 8-символьный пароль из 94-символьного алфавита за 4,7 дня! Это $135 за пароль в худшем случае, используя средние затраты на электроэнергию США для расчета. На практике, однако, это число может составить $5 за пароль или даже меньше, учитывая, что люди не всегда выбирают сложные пароли».
26 июля Telegram анонсировала запуск Telegram Passport, нового сервиса, который позволяет загружать и хранить документы, такие как паспорт, водительские права и банковские выписки, а затем делиться ими со сторонними сервисами, такими как криптокошельки, платежные системы и всеми теми, которые соблюдают требования Know Your Клиент (KYC) по идентификации и верификации личности клиента.
Подписывайтесь на наш Telegram-канал: новости и аналитика из первых рук!
